1. A.7 Seguridad de los recursos humanos
1.1. A.7.1 Antes del empleo
1.1.1. Objetivo: Asegurar que los empleados y contratistas entienden sus responsabilidades y son convenientes para los roles para los que se les considera.
1.1.1.1. A.7.1.1 Selección A.7.1.2 Términos y condiciones del empleo
1.2. A.7.2 Durante el empleo
1.2.1. Objetivo: Asegurar que los empleados y contratistas sean conscientes y cumplan con sus responsabilidades de seguridad de la información.
1.2.1.1. A.7.2.1 Responsabilidades de la gerencia A.7.2.2 Conciencia, educación y capacitación sobre la seguridad de la información A.7.2.3 Proceso disciplinario
1.3. A.7.3 Terminación y cambio de empleo
1.3.1. Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o terminación de empleo.
1.3.1.1. A.7.3.1 Terminación o cambio de responsabilidades del empleo.
2. A.8 Gestión de activos
2.1. A.8.1 Responsabilidad por los activos
2.1.1. Objetivo: Identificar los activos de la organización y definir responsabilidades de protección apropiadas.
2.1.1.1. A.8.1.1 Inventario de activos A.8.1.2 Propiedad de los activos A.8.1.3 Uso aceptable de los activos A.8.1.4 Retorno de activos
2.2. A.8.2 Clasificación de la información
2.2.1. Objetivo: Asegurar que la información recibe un nivel apropiado de protección en concordancia con su importancia para la organización.
2.2.1.1. A.8.2.1 Clasificación de la información A.8.2.2 Etiquetado de la información A.8.2.3 Manejo de activos
2.3. A.8.3 Manejo de los medios
2.3.1. Objetivo: Prevenir la divulgación, modificación, remoción o destrucción no autorizada de información almacenada en medios.
2.3.1.1. A.8.3.1 Gestión de medios removibles A.8.3.2 Disposición de medios A.8.3.3 Transferencia de medios físicos
3. A.9 Control de acceso
3.1. A.9.1 Requisitos de la empresa para el control de acceso
3.1.1. Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de la información
3.1.1.1. A.9.1.1 Política de control de acceso A.9.1.2 Acceso a redes y servicios de red
3.2. A.9.2 Gestión de acceso de usuario
3.2.1. Objetivo: Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas y servicios.
3.2.1.1. A.9.2.1 Registro y baja de usuarios A.9.2.2 Aprovisionamiento de acceso a usuario A.9.2.3 Gestión de derechos de acceso privilegiados A.9.2.4 Gestión de información de autentificación secreta de usuarios A.9.2.5 Revisión de derechos de acceso de usuarios A.9.2.6 Remoción o ajuste de derechos de acceso
3.3. A.9.3 Responsabilidades de los usuarios
3.3.1. Objetivo: Hacer que los usuarios respondan por la salvaguarda de su información de autentificación.
3.3.1.1. A.9.3.1 Uso de información de autentificación secreta
3.4. A.9.4 Control de acceso a sistema y aplicación
3.4.1. Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones.
3.4.1.1. A.9.4.1 Restricción de acceso a la información A.9.4.2 Procedimientos de ingreso seguro A.9.4.3 Sistema de gestión de contraseñas A.9.4.4 Uso de programas utilitarios privilegiados A.9.4.5 Control de acceso al código fuente de los programas
4. A.11 Seguridad física y ambiental
4.1. A.11.1 Áreas seguras
4.1.1. Objetivo: Impedir acceso físico no autorizado, daño e interferencia a la información y a las instalaciones de procesamiento de la información de la organización.
4.1.1.1. A.11.1.1 Perímetro de seguridad física A.11.1.2 Controles de ingreso físico A.11.1.3 Asegurar oficinas, áreas e instalaciones A.11.1.4 Protección contra amenazas externas y ambientales A.11.1.5 Trabajo en áreas seguras A.11.1.6 Áreas de despacho y carga
4.2. A.11.2 Equipos
4.2.1. Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos e interrupción de las operaciones de la organización.
4.2.1.1. A.11.2.1 Emplazamiento y protección de los equipos A.11.2.2 Servicios de suministro A.11.2.3 Seguridad del cableado A.11.2.4 Mantenimiento de equipos A.11.2.5 Remoción de activos A.11.2.6 Seguridad de equipos y activos fuera de las instalaciones A.11.2.7 Disposición o reutilización segura de equipos A.11.2.8 Equipos de usuario desatendidos A.11.2.9 Política de escritorio limpio y pantalla limpia
5. A.13 Seguridad de las comunicaciones
5.1. A.13.1 Gestión de seguridad de la red
5.1.1. Objetivo: Asegurar la protección de la información en las redes y sus instalaciones de procesamiento de la información de apoyo.
5.1.1.1. A.13.1.1 Controles de la red A.13.1.2 Seguridad de servicios de red A.13.1.3 Segregación en redes
5.2. A.13.2 Transferencia de información
5.2.1. Objetivo: Mantener la seguridad de la información transferida dentro de una organización y con cualquier entidad externa.
5.2.1.1. A.13.2.1 Políticas y procedimientos de transferencia de la información A.13.2.2 Acuerdo sobre transferencia de información A.13.2.3 Mensajes electrónicos A.13.2.4 Acuerdos de confidencialidad o no divulgación
6. A.15 Relaciones con los proveedores
6.1. A.15.1 Seguridad de la información en las relaciones con los proveedores
6.1.1. Objetivo: Asegurar protección a los activos de la organización que son accesibles por los proveedores
6.1.1.1. A.15.1.1 Política de seguridad de la información para las relaciones con los proveedores A.15.1.2 Abordar la seguridad dentro de los acuerdos con proveedores A.15.1.3 Cadena de suministro de tecnología de información y comunicación
6.2. A.15.2 Gestión de entrega de servicios del proveedor
6.2.1. Objetivo: Mantener un nivel de seguridad de la información y entrega de servicios acordado en línea con los acuerdos con proveedores
6.2.1.1. A.15.2.1 Monitoreo y revisión de servicios de los proveedores A.15.2.2 Gestión de cambios a los servicios de proveedores
7. A.17 Aspectos de seguridad de la información en la gestión de continuidad del negocio
7.1. A.17.1 Continuidad de seguridad de la información
7.1.1. Objetivo: La continuidad de seguridad de la información debe estar embebida en los sistemas de gestión de continuidad del negocio de la organización
7.1.1.1. A.17.1.1 Planificación de continuidad de seguridad de la información A.17.1.2 Implementación de continuidad de seguridad de la información A.17.1.3 Verificación, revisión y evaluación de continuidad de seguridad de la información
7.2. A.17.2 Redundancias
7.2.1. Objetivo: Asegurar la disponibilidad de las instalaciones y procesamiento de la información
7.2.1.1. A.17.2.1 Instalaciones de procesamiento de la información
8. A.5 Políticas de seguridad de la información
8.1. A.5.1 Dirección de la gerencia para la seguridad de la información
8.1.1. Objetivo: Proporcionar dirección y apoyo de la gerencia para la seguridad de la información en concordancia con los requisitos del negocio y las leyes y regulaciones relevantes.
8.1.1.1. A.5.1.1 Políticas para la seguridad de la información A.5.1.2 Revisión de las políticas para la seguridad de la información
9. A.6 Organización de la seguridad de la información
9.1. A.6.1 Organización interna
9.1.1. Objetivo: establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización.
9.1.1.1. A.6.1.1 Roles y responsabilidades para la seguridad de la información A.6.1.2 Segregación de funciones A.6.1.3 Contacto con autoridades A.6.1.4 Contacto con grupos especiales de interés A.6.1.5 Seguridad de la información en la gestión de proyectos
9.2. A.6.2 Dispositivos móviles y teletrabajo
9.2.1. Objetivo: Asegurar la seguridad del teletrabajo y el uso de los dispositivos móviles.
9.2.1.1. A.6.2.1 Política de dispositivos móviles A.6.2.2 Teletrabajo
10. A.10 Criptografía
10.1. A.10.1 Controles criptográficos
10.1.1. Objetivo: Asegurar el uso apropiado y efectivo de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información.
10.1.1.1. A.10.1.1 Política sobre el uso de controles criptográficos A.10.1.2 Gestión de claves
11. A.12 Seguridad de las operaciones
11.1. A.12.1 Procedimientos y responsabilidades operativas
11.1.1. Objetivo: Asegurar que las operaciones de instalaciones de procesamiento de la información sean correctas y seguras.
11.1.1.1. A.12.1.1 Procedimientos operativos documentados A.12.1.2 Gestión del cambio A.12.1.3 Gestión de la capacidad A.12.1.4 Separación de los entornos de desarrollo, pruebas y operaciones
11.2. A.12.2 Protección contra códigos maliciosos
11.2.1. Objetivo: Asegurar que la información y las instalaciones de procesamiento de la información estén protegidas contra códigos maliciosos.
11.2.1.1. A.12.2.1 Controles contra códigos maliciosos
11.3. A.12.3 Respaldo
11.3.1. Objetivo: Proteger contra la pérdida de datos
11.3.1.1. A.12.3.1 Respaldo de la información
11.4. A.12.4 Registros y monitoreo
11.4.1. Objetivo: Registrar eventos y generar evidencia
11.4.1.1. A.12.4.1 Registro de eventos A.12.4.2 Protección de información de registros. A.12.4.3 Registros del administrador y del operador A.12.4.4 Sincronización de reloj
11.5. A.12.5 Control del software operacional
11.5.1. Objetivo: Asegurar la integridad de los sistemas operacionales
11.5.1.1. A.12.5.1 Instalación de software en sistemas operacionales
11.6. A.12.6 Gestión de vulnerabilidad técnica
11.6.1. Objetivo: Prevenir la explotación de vulnerabilidades técnicas
11.6.1.1. A.12.6.1 Gestión de vulnerabilidades técnicas A.12.6.2 Restricciones sobre la instalación de software
11.7. A.12.7 Consideraciones para la auditoría de los sistemas de información
11.7.1. Objetivo: Minimizar el impacto de las actividades de auditoría en los sistemas operacionales
11.7.1.1. A.12.7.1 Controles de auditoría de sistemas de información
12. A.14 Adquisición, desarrollo y mantenimiento de sistemas
12.1. A.14.1 Requisitos de seguridad de los sistemas de información
12.1.1. Objetivo: Garantizar que la seguridad de la información es una parte integral de los sistemas de información a través del ciclo de vida completo. Esto también incluye los requisitos para sistemas de información que proporcionen servicios sobre redes públicas.
12.1.1.1. A.14.1.1 Análisis y especificación de requisitos de seguridad de la información A.14.1.2 Aseguramiento de servicios de aplicaciones sobre redes públicas A.14.1.3 Protección de transacciones en servicios de aplicación
12.2. A.14.2 Seguridad en los procesos de desarrollo y soporte
12.2.1. Objetivo: Garantizar que la seguridad de la información esté diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información.
12.2.1.1. A.14.2.1 Política de desarrollo seguro A.14.2.2 Procedimientos de control de cambio del sistema A.14.2.3 Revisión técnica de aplicaciones después de cambios a la plataforma operativa A.14.2.4 Restricciones sobre cambios a los paquetes de software A.14.2.5 Principios de ingeniería de sistemas seguros A.14.2.6 Ambiente de desarrollo seguro A.14.2.7 Desarrollo contratado externamente A.14.2.8 Pruebas de seguridad del sistema A.14.2.9 Pruebas de aceptación del sistema
12.3. A.14.3 Datos de prueba
12.3.1. Objetivo: Asegurar la protección de datos utilizados para las pruebas
12.3.1.1. A.14.3.1 Protección de datos de prueba
13. A.16 Gestión de incidentes de seguridad de la información
13.1. A.16.1 Gestión de incidentes de seguridad de la información y mejoras
13.1.1. Objetivo: Asegurar un enfoque consistente y efectivo a la gestión de incidentes de seguridad de la información, incluyendo la comunicación sobre eventos de seguridad y debilidades.
13.1.1.1. A.16.1.1 Responsabilidades y procedimientos A.16.1.2 Reporte de eventos de seguridad de la información A.16.1.3 Reporte de debilidades de seguridad de la información A.16.1.4 Evaluación y decisión sobre eventos de seguridad de la información A.16.1.5 Respuesta a incidentes de seguridad de la información A.16.1.6 Aprendizaje de los incidentes de seguridad de la información A.16.1.7 Recolección de evidencia
14. A.18 Cumplimiento
14.1. A.18.1 Cumplimiento con requisitos legales y contractuales
14.1.1. Objetivo: Evitar infracciones de las obligaciones legales, estatutarias, regulatorias o contractuales relacionadas a la seguridad de la información y a cualquier requisito de seguridad.
14.1.1.1. A.18.1.1 Identificación de requisitos contractuales y de legislación aplicables A.18.1.2 Derechos de propiedad intelectual A.18.1.3 Protección de registros A.18.1.4 Privacidad y protección de datos personales. A.18.1.5 Regulación de controles criptográficos
14.2. A.18.2 Revisiones de seguridad de la información
14.2.1. Objetivo: Asegurar que la seguridad de la información está implementada y es operada de acuerdo con las políticas y procedimientos organizativos.
14.2.1.1. A.18.2.1 Revisión independiente de la seguridad de la información A.18.2.2 Cumplimiento de políticas y normas de seguridad A.18.2.3 Revisión del cumplimiento técnico